PacketFenceZEN管理手册安装手册中文版Word文档下载推荐.docx
- 文档编号:6505829
- 上传时间:2023-05-06
- 格式:DOCX
- 页数:12
- 大小:20.86KB
PacketFenceZEN管理手册安装手册中文版Word文档下载推荐.docx
《PacketFenceZEN管理手册安装手册中文版Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《PacketFenceZEN管理手册安装手册中文版Word文档下载推荐.docx(12页珍藏版)》请在冰点文库上搜索。
网络设置
VLAN1是管理VLAN
VLAN2是注册VLAN(未注册的设备将放置在这个VLAN)
VLAN3是隔离VLAN(被隔离的设置将放置到这个VLAN)
VLAN4是MAC检测VLAN
VLAN5是访客VLAN
VLAN10是合规VLAN
VLAN200是“inline”VLAN
各子网和IP信息请看下表:
VlanID
VLAN名称
子网
网关
Packetfence地址
1
Management
DHCP
2
Registration
192.168.2.0/24
192.168.2.10
3
Lsolation
192.168.3.0/24
192.168.3.10
4
MacDetection
5
Guests
192.168.5.0/24
192.168.5.10
10
Normal
192.168.1.0/24
192.168.1.1
192.168.1.10
200
Inline
192.168.200.0/24
192.168.200.10
DHCP/DNS
DHCP服务器在PacketFenceZEN体系中,是用来处理Vlan2,3,5,10和200中IP地址自动分配的。
DNS服务器在PacketFenceZEN体系中,是用来处理VLAN2、3中的域名解析的。
第四章安装
导入虚拟机文件
PacketFenceZEN使用了OVF(虚拟盘)和VMX(配置文件)格式文件。
你可以使用一些VMWare桌面产品导入VMX文件,自动创建虚拟机。
如果你使用的是ESX类的虚拟要,你可以使用vSphereClient或vCenter来导入OVF文件。
现在还不支持Xen虚拟机。
导入到ESX
确认仅有一个虚拟网卡被创建,你的虚拟网卡是连接到虚拟交换机(vSwitch)。
你需要创建一个“trunk”配置文件,以允许所有的VLAN标记通过,将这个配置指派给PacketFenceZENVM的虚拟网卡(vEthernet)。
导入到VMWarePlayer/WorkstationforLinux
新版本的VMWarePlayer在处理VLANtrunking上有许多优点,例如在虚拟机上使用单接口(singleinterface)。
所以你需要确认你运行虚拟机的计算机是已经接入到了一个物理端口上,而且这个端口允许VLAN1,2,3,5,10和200通过。
注意:
如果你在使用仅有一个trunked接口的Workstation中遇到问是,请参见附件1。
我们的测试主要是在VMWarePlayerforLinux中做的。
我们不建议使用VMWareFusion。
第五章虚拟机口令
管理(SSH/Console)和MySQL
Login:
root
Password:
pck3tf3nc3
阻断提示门户或802.1x注册用户
demouser
第六章配置
配置PacketFence环境
在启动虚拟机之前,确认网线已从交换机trunk端口正确接入计算机,计算机网卡已正常工作。
在成功启动虚拟机后,用浏览器打开配置页网址(ie.PF_IP:
1444/configurator)。
配置过程分为5个步骤,在配置过程中,不要关闭虚拟机。
步骤1:
实施
配置过程的第一步也是非常重要的一步。
你要选择实施的技术:
是VLAN(out-of-band旁路),INLINE(in-band在线或串联)或都两个都用。
选择的模式将影响下一步工作:
配置不同的网络。
每一个实施模式,在第二步需要的接口类型不同。
在我们的这个例子中,选择的是VLAN模式(out-of-band旁路)。
第二步:
网络
这一步将指导你配置网络接口的状态(注意:
DHCP接口配置还不支持)。
按第一步选择的模式,你必须配置需要的接口类型。
Web界面上将列出当前系统上所有的网卡。
如果网卡已被配置,将可以看到它的IP地址和子网掩码(通过DHCP或已经手动配置)。
你能编辑他们中的一个,在这个物理接口上创建或删除VLAN,允许或禁止接口。
注意,当你作了一些操作后,可能要等一会才能看到产生的结果。
所有配置写在一个允许的网卡上才能生效。
在任何时间,你都要设置一个管理接口。
Inline模式下需要的接口类型:
Managermanet
VLAN模式下需要的接口类型
Isolation
注意,只能设置一个管理接口。
案例中,将在有线网卡接口上创建两个VLAN。
点击有线接口边上的addvlan按钮。
两个VLAN的配置是简单的:
Registration(注册)
Virtuallanid:
Ipaddress:
192.168.2.1
Netmask:
255.255.255.0
VirtualLANID:
3
IPAddress:
192.168.3.1
255.255.255.0
不要忘记还要编辑物理接口。
点击它旁边的编辑按钮,写入正确的管理网络资料。
在案例中,为涉及到的接口分配如下正确类型:
eth0:
Management
eth0VLAN2:
Registration
eth0VLAN3:
Isolation
确认这三个接口处于允许状态。
需要为管理网络设置默认网关。
做好所有的设置后,可以点击Continue到下一步。
第三步:
数据库配置
这一步配置mysql服务。
为用户操作的必需的数据库和表要被创建。
如果有必要为了安全,要重新设置root。
案例中,可以用已事先建好的用户root进行登录测试。
在这一步的下一节中,可以在mysql中加入其它的PacketFence用户。
创建口令要输入两次,点击createuser。
第三节将创建数据库,载入正确的表。
点击createtables和indexes进入下一界面。
如果一切成功,点击continue
第四步:
packetFence配置
这一步将配置packetFence安装的一般选项。
有些配置项需要按自定义要求,多次操作。
几乎所有的配置项都有说明。
唯一可能引起混淆的是DHCPservers配置一节。
在这一节中,用逗号将所有用户网络中PacketFence可以看到的DHCP服务器的IP地址分隔开来,对一些起恶意作用的DHCP不会报警。
不要忘记加入你新创建的本地VLANinterface!
在所有项目填完后,点击继续。
第五步:
管理
这一步,我们将创建一个可以访问管理员界面的用户。
简单的提供用户名和口令后,点击“”“创建用户”。
第六步:
服务确定
这是最后一步,但不是说不重要的一步。
在这一步,我们根据前面步骤的配置启动PacketFence服务。
如果每一步都做正确了,将出现一个邀请你继续进入到管理界面的窗口。
可以用第四步创建的认证登录PacketFence的管理员界面。
服务状态状帮助你监控是否每一步都做正确了。
如果没有,你可以看到哪一个服务有问题,输出的日志将帮助你确定问题在哪。
PacketFence配置文件
如果你想自定义配置文件,我们假设在这之前你已经看过了《PacketFence管理员手册》。
如果你使用标准方式进行安装,可以不必去自行修改配置文件。
主要的配置文件是:
Conf/pf.conf:
配置PacketFence服务
Conf/networks.conf:
定义注册和隔离网络,建立DNS和DHCP配置。
在这个案例里,我们包括了访客和受保护网络。
Conf/switches.conf:
定义VLAN段和网络设备。
网络设备:
请参看《网络设备配置手册》,以便准确的配置你的网络设备。
FreeRADIUS
PacketFenceZEN3.5.0自带了一个FreeRADIUS为有线和无线的802.1X网络准入作MAC认证。
我们创建本地用户为802.1X认证。
/usr/local/pf/conf/radiusd.conf:
配置RADIUS服务的模板
/usr/local/pf/conf/eap.conf:
配置802.1x做EAP的模板
/usr/local/pf/conf/sql.conf:
在PacketFence中配置RADIUS和RADIUS客户端的模板。
/usr/local/pf/raddb/users:
定义本地的802.1x用户
/usr/local/pf/raddb/sites-enabled/packetfence:
用不同的AAA(authenticate-authorization-accounting)方式定义默认的配置模块。
/usr/local/pf/raddb/sites-enabled/packetfence-tunnel:
主要为EAP隧道处理定义本地虚拟主机。
这是默认虚拟主要的一个扩展。
/usr/local/pf/raddb/packetfence.pm:
PacketFence的FreeRADIUS模块.与PacketFenceserver相关。
VLAN访问
在交换机上确定配置了MAC发现、注册、隔离和标准VLAN段。
配置一个交换机端口为trunk模式端口,以访问其它的四个VLAN。
还有一个VLAN做为管理VLAN。
接入你的服务器到trunk模式端口。
放一个交换机端口到注册VLAN里。
放其它一个端口到隔离VLAN里
放其它一个端口到MAC发现VLAN里
接入一个有静态IP地址的设备到注册VLAN
接入一个有静态IP地址的设备到隔离VLAN
接入一个DHCP地址的设备到MAC发现VLAN
确定在VLAN2的设备能与PacketFenc的eth0.2通讯。
确定在VLAN2的设备不能与在其它VLAN的设备通讯。
确定在VLAN3的设备能与PacketFenc的eth0.3通讯。
确定在VLAN3的设备不能与其它VLAN的设备通讯。
确定在VLAN4的设备不能与其它VLAN的设备通讯。
第七章测试
在线注册一个设备
现在你可以测试注册过程。
条件如下:
在交换机上接入一个未注册过的设备。
确定PacketFenc给用户提供了一个IP地址。
在日志文件/var/log/messages查看。
在计算机上打开一个浏览器,尝试连接一个,确定无论你想连接的是任何,你都被指定访问注册页。
用以下容注册计算机:
用户名demouser口令:
计算机立即被注册成功了。
确认PacketFenc为认证通过的用户修改了防火墙规则。
可以查看PacketFenc的日志文件:
/usr/local/pf/logs/packetfence.log
计算机可以通过网络正常访问互联网了。
注册一个VLAN里的设备
你可以通过以下方式测试注册过程。
在交换机上接入一个未注册的设备。
查看PacketFenc日志文件:
/usr/local/pf/logs/packetfence.log,确定PacketFenc收到了来自交换机的陷阱报告。
/usr/local/pf/logs/packetfence.log,确定PacketFenc根据陷阱报告,将交换机端口划入到VLAN2
在一个计算机上打开浏览器,尝试连接一个。
确定无论你访问任何,都被指定到注册页。
注册计算机进行以下操作:
用户名demouser口令demouser,计算机立即完成了注册。
注册后进行确认:
PacketFenc将交换机端口划入了合规VLAN段。
计算机可以通过网络访问互联网。
PacketFencWEB管理员界面
PacketFenc提供了一个WEB管理界面。
在浏览器中输入:
https:
//DHCP_RECEIVED_IP:
1443
用户名:
admin
口令:
p\ck3tf3nc3
第八章附加信息
要得到更多信息,请查看列表或给中发送你的问题。
细节如下:
packetfence-:
发布公告,如新版本,安全警告等。
packetfence-:
PacketFence开发讨论和研究
用户和使用讨论
第九章商业支持和联系方式
这方面的问题或讨论,不要犹豫,写到supportinverse.ca。
Inverse(inverse.ca)为帮助组织提供可靠的解决方案,为其它系统定制、迁移版本,提高执行效率和最佳实践提供专业的服务。
以小时为单位根据你的需要提供技术支持服务。
细节请看inverse.ca/support.html。
第十章GNU授权文档
请查看.gnu.org/licenses/fdl-1.2.txt
附录Apacketfence在VMWAREWorkstation中的有关配置
/etc/sysconfig/network-scripts/ifcfg-eth0.2
DEVICE=eth0.2
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.2.2
NETMASK=255.255.255.0
VLAN=yes
/etc/sysconfig/network-scripts/ifcfg-eth0.3
DEVICE=eth0.3
IPADDR=192.168.3.2
/etc/sysconfig/network-scripts/ifcfg-eth0.5
DEVICE=eth0.5
IPADDR=192.168.5.2
/etc/sysconfig/network-scripts/ifcfg-eth0.10
DEVICE=eth0.10
IPADDR=192.168.1.2
/etc/sysconfig/network-scripts/ifcfg-eth0.200
DEVICE=eth0.200
IPADDR=192.168.200.2
执行VMware配置工具,将eth0eth0.2eth0.3eth0.5eth0.10和eth0.200定义为桥模式。
创建4个虚拟网卡。
它们将连接到/dev/vmnet0,/dev/vmnet1,/dev/vmnet2,/dev/vmnet3,/dev/vmnet4和/dev/vmnet5。
这样packetfence得到6个独立的网卡能够与VLAN1,2,3,5,10和200通讯。
你需要重新配置VM接口的IP地址。
参与前面的IP和子网地址表可以帮助你再次配置接口。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- PacketFenceZEN 管理 手册 安装 中文版